Rafræn undirskrift og RGPD: handbók fyrir DPO
Notkun rafrænnar undirskriftarlausnar vekur nokkur RGPD spurningar: hvar gögn eru geymd? Hver getur nálgast þau? Er hætta á Cloud Act? Þessi handbók svarar þessum spurningum og útskýrir hvernig á að velja RGPD samræmda lausn fyrir þína stofnun.
Hvaða persónuupplýsingum meðhöndlar undirskriftarlausn?
Rafræn undirskriftarvettvangur meðhöndlar nokkra flokka persónuupplýsinga.
- Auðkenni undirritara: nafn, fornafn, tölvupóstur, sími
- Efni skjala: hugsanlega viðkvæm persónuupplýsing (ráðningarsamningar, heilsufarsupplýsingar, fjárhagsupplýsingar)
- Endurskoðunarferil: IP-tala, tímastimpa, user-agent
- Hegðunargögn: handskrift undirskriftar á spjaldi (ef QES lífmælt)
Hýsing og millifærslur utan ESB
RGPD krefst þess að persónuupplýsingum sé ekki millifært utan ESB nema til landa sem bjóða fullnægjandi vernd eða með viðeigandi tryggingum (SCCs, BCRs). Fyrir undirskriftarlausnir þýðir þetta:
- Hýsing ESB → endalaus millifærsla, engar frekari formfengleikar
- Hýsing á Bandaríkjunum með SCCs → hugsanlegt en afgangs Cloud Act áhætta
- Bandarísk aðili (Cloud Act) → óbreytanleg áhætta jafnvel með hýsingu ESB
Bandaríski Cloud Act og rafræn undirskrift
Cloud Act (2018) heimilar bandarískum yfirvöldum aðgang að gögnum sem geymd eru af bandarískum fyrirtækjum, jafnvel þótt gögnin séu geymd í Evrópu. DocuSign, Adobe Sign og Dropbox Sign eru bandarísk fyrirtæki sem falla undir Cloud Act. Certyneo er franskt aðili sem fellur ekki undir þessa utanríkislogsögu.
| Solution | Cloud Act áhættumagn eftir lausn |
|---|---|
| Certyneo | Engin áhætta — franskt aðili |
| Yousign | Engin áhætta — franskt aðili |
| DocuSign | Afgangs áhætta — bandarísk aðili |
| Adobe Acrobat Sign | Afgangs áhætta — bandarísk aðili |
| Dropbox Sign | Afgangs áhætta — bandarísk aðili |
DPA og lagalegir grundvellir
Meðhöndlun gagna með undirskriftarlausn verður að byggjast á gildum lagalegum grundvelli (samningi, lögmætum hagsmunum eða samþykki). Data Processing Agreement (DPA) verður að gera við undirskriftarþjónustuveitandann. Certyneo býður fram RGPD-samhæfa DPA sem hægt er að undirrita rafrænt með þeim þáttum sem krafist er í 28. grein RGPD.
Ábendingar fyrir DPO
- 1Veldu þjónustuveitanda þar sem lögaðili hefur aðsetur í ESB eða Bretlandi (eftir Brexit með fullnægandi ákvörðun)
- 2Staðfesttu að hýsingin sé eingöngu í ESB án afritunar á netþjónum utan ESB
- 3Fendu og undirritaðu DPA sem samræmist 28. grein RGPD
- 4Skjalfestdu áhrifamatið (AIPD) ef þú ert að meðhöndla viðkvæm gögn í skjölum þínum
- 5Staðfesttu geymsluendingu gagna og eyðingarstefnu við lok samnings
RGPD spurningar um rafræna undirskrift
- Felur rafræn undirskrift í sér meðhöndlun persónuupplýsinga?
- Já. Netfang, nafn og hugsanlega símanúmer undirritara eru söfnuð. Efni skjala getur einnig innihaldið persónuupplýsingar. Undirskriftarþjónustuveitandinn er undirverkari samkvæmt RGPD, bundinn með skyldum 28. greinar.
- Er DocuSign RGPD-samhæft?
- DocuSign fullyrðir að vera RGPD-samhæft og býður fram SCCs. Hins vegar, sem bandarískt fyrirtæki, fellur það ennþá undir Cloud Act. CNIL minntist á að Cloud Act skapi óbreytanlega áhættu fyrir evrópsk gögn sem geymd eru af bandarískum aðilum, jafnvel í ESB.
- Er Certyneo RGPD-samhæft?
- Já. Certyneo er franskt aðili, hýst í ESB (IONOS Þýskaland), ekki háð Cloud Act. Gögn eru dulkóðuð í flutningi (TLS 1.3) og í hvíld. Certyneo býður fram DPA sem samræmist 28. grein RGPD.
- Þarf að framkvæma AIPD fyrir notkun undirskriftarlausnar?
- AIPD er ekki kerfisbundið nauðsynlegt fyrir staðlaða rafræna undirskrift. Það er skylt ef þú undirritaðir skjöl sem innihalda viðkvæm gögn (heilsu, mannauð með stéttarfélagsgögnum osfrv.) eða ef notkun þín á undirskrift felur í sér prófun eða eftirlit í stórum stíl.